跨站请求伪造（CSRF）攻击及其防御措施

跨站请求伪造（CSRF）攻击及其防御措施

跨站请求伪造（CSRF）是一种严重的安全漏洞，会危及网络应用。它诱使用户执行他们并不打算执行的操作，从而导致网站上出现未经授权的操作。

CSRF是什么？

CSRF是一种攻击类型，恶意网站会诱骗用户的浏览器向用户已通过身份验证的不同网站发出不必要的请求。例如，如果用户登录了自己的网上银行账户，CSRF攻击就会诱使浏览器在用户不知情的情况下转移资金。

CSRF是如何工作的

1：CSRF攻击步骤

• • 用户验证：用户登录受信任的网站（如银行系统），通过cookie维持会话，这一步只有用户才能操作，这是攻击的前提。
• • 恶意网站：黑客通过各种方式诱骗用户在不知情的情况下访问恶意网站。
• • 未经授权的请求：恶意网站使用已认证用户的凭据（通常通过cookie）向受信任网站发送请求，这个请求被精心设计，以在受信任网站上执行操作，而用户对此并不知情或未经同意。

恶意网站的程序可能就是一张图片：

<img src="https://bank.example.com/transfer?amount=1000&to=attacker" />

图片中的脚本就会执行JavaScript脚本，携带受信任的网站的Cookie向受信任的网站发送请求。

2：如何诱骗用户访问恶意网站

攻击的核心就是如何诱骗用户在不知情的情况下访问恶意网站，大概的方式如下：

• • 钓鱼邮件
• • 被种植木马的第三方网站
• • 社交媒体上的恶意连接

核心的核心就是要触发访问恶意网站，不管是显示点击还是隐式访问。

CSRF的危害

• • 未经授权的交易：转移资金、更改账户设置或执行其他敏感操作。
• • 数据窃取：窃取个人或敏感数据，比如口令等。
• • 用户体验：破坏用户信任，损害网站声誉。

如何避免CSRF攻击

所谓跨站攻击，且使用第三方网站诱骗，那涉及到跨域的问题，大部分解决方案业缘于此。

1：Anti-CSRF Tokens

在请求表单中包含一个唯一的、不可预测的令牌，并在服务器端验证该令牌。

服务器端代码：

import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.stereotype.Controller;
import org.springframework.web.servlet.ModelAndView;

@Controller
public class TransferController {

   @PostMapping("/transfer")
   public ModelAndView transferMoney(@RequestParam("amount") int amount, @RequestParam("to") String to, @RequestParam("csrfToken") String csrfToken) {
       if (!validateCsrfToken(csrfToken)) {
           throw new SecurityException("Invalid CSRF token");
       }
       return new ModelAndView("success");
   }

   private boolean validateCsrfToken(String token) {
       return true;
   }
}

客户端代码：

<form action="/transfer" method="post">
   <input type="hidden" name="csrfToken" value="${csrfToken}">
   <input type="number" name="amount" placeholder="Amount">
   <input type="text" name="to" placeholder="Recipient">
   <button type="submit">Transfer</button>
</form>

2：SameSite Cookies

Cookie同源策略的限制，SameSite是一个用于控制浏览器在跨站请求中发送cookie的属性，可以设置为以下三个值：

• • Strict：只有在同一站点的请求中才会发送cookie。
• • Lax：允许同一站点的请求发送cookie，并且在某些跨站请求中也会发送cookie，比如从外部站点点击链接允许，Ajax请求不允许。
• • None：默认允许执行所有跨站请求。

服务器端代码：

import javax.servlet.http.Cookie;

public class MyServlet extends HttpServlet {
   @Override
   protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
       Cookie csrfCookie = new Cookie("csrfToken", generateCsrfToken());
       csrfCookie.setHttpOnly(true);
       csrfCookie.setSecure(true);
       csrfCookie.setPath("/");
       csrfCookie.setMaxAge(3600);
       csrfCookie.setSameSite("Strict"); // SameSite attribute
       response.addCookie(csrfCookie);
   }

   private String generateCsrfToken() {
       return "generatedToken";
   }
}

3：Referer Header 校验

这也是一种方式，不过很容易伪造。

const express = require('express');
const app = express();

app.post('/transfer', (req, res) => {
   const referer = req.headers.referer;
   if (!referer || !referer.startsWith('https://yourwebsite.com')) {
       return res.status(403).send('Forbidden');
   }
   res.send('Transfer successful');
});

CSRF攻击会带来严重后果，一方面编写代码的时候使用优秀的框架，里面内置了安全防护措施和最佳实践，另外定期对网站进行安全审计，减少攻击的可能性。

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三：顶级网络安全工程师

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

学习资料分享

当然，只给予计划不给予学习资料的行为无异于耍流氓，这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包，可点击下方二维码链接领取哦。